TLS transporto sluoksnio apsauga
Instrukcijų vadovas

„Algo“ IP galinių taškų apsauga:
TLS ir abipusis autentifikavimas

Reikia pagalbos?
604-454-3792 or support@algosolutions.com 

Įvadas į TLS

TLS (Transport Layer Security) yra kriptografinis protokolas, užtikrinantis duomenų, siunčiamų tarp programų ar įrenginių internetu, autentifikavimą, privatumą ir visišką saugumą. Kadangi prieglobos telefonijos platformos tapo vis dažnesnės, išaugo TLS poreikis užtikrinti saugų ryšį viešuoju internetu. „Algo“ įrenginiai, palaikantys 1.6.4 ar naujesnę programinę-aparatinę įrangą, palaiko tiek aprūpinimo, tiek SIP signalizavimo transportavimo lygmens apsaugą (TLS).
Pastaba: šie galiniai taškai nepalaiko TLS: 8180 IP garso perspėjimas (G1), 8028 IP durų telefonas (G1), 8128 IP vaizdo įspėjimas (G1), 8061 IP relės valdiklis.

Šifravimas prieš tapatybės patvirtinimą

Nors TLS srautas visada yra užšifruotas ir apsaugotas nuo trečiųjų šalių pasiklausymo ar modifikavimo, papildomas saugumo lygis gali būti suteiktas naudojant sertifikatus kitos šalies tapatybei patikrinti. Tai leidžia serveriui patikrinti IP galutinio taško įrenginio tapatybę ir atvirkščiai.
Norėdami atlikti tapatybės patikrinimą, pažymėkite file turi pasirašyti sertifikavimo institucija (CA). Tada kitas įrenginys patikrina šį parašą naudodamas viešąjį (patikimą) sertifikatą iš šios CA.

TLS sertifikatai

„Algo IP Endpoints“ yra iš anksto įdiegtas su viešųjų sertifikatų rinkiniu iš patikimų trečiųjų šalių sertifikavimo institucijų (CA), įskaitant „Comodo“, „Verisign“, „Symantec“, „DigiCert“ ir kt. Sertifikavimo institucijos teikia pasirašytus sertifikatus įmonėms, kad šios įmonės galėtų įrodyti, kad jų serveriai arba websvetainės iš tikrųjų yra tai, kas sakosi esanti. „Algo“ įrenginiai gali patvirtinti, kad palaiko ryšį su autentišku serveriu, patikrindami serverio pasirašytus sertifikatus su jį pasirašiusios CA viešaisiais sertifikatais. Taip pat galima įkelti papildomų viešųjų sertifikatų, kad „Algo“ įrenginys galėtų pasitikėti ir patikrinti papildomus serverius, kurie gali būti neįtraukti į iš anksto įdiegtus sertifikatus (pvz.ample, pačių pasirašytus sertifikatus).

Abipusis autentifikavimas

Abipusis autentifikavimas prideda dar vieną saugos sluoksnį, reikalaujant, kad serveris taip pat patvirtintų galinio taško įrenginį ir pasitikėtų juo, be to, priešinga kryptimi, nei galinis taškas patvirtina serverį. Tai įgyvendinama naudojant unikalų įrenginio sertifikatą, įdiegtą kiekviename Algo SIP galutiniame taške gamybos metu. Kadangi „Algo“ įrenginio IP adresas nėra fiksuotas (jį nustato kliento tinklas), „Algo“ negali iš anksto skelbti šios informacijos patikimose CA, o vietoj to šiuos Įrenginių sertifikatus turi pasirašyti „Algo“ CA.
Kad serveris pasitikėtų Algo įrenginiu, sistemos administratorius savo serveryje turės įdiegti viešąją Algo CA sertifikatų grandinę (pvz.ampSIP telefono sistemą arba jų aprūpinimo serverį), kad šis serveris galėtų patikrinti, ar „Algo“ įrenginyje esantis įrenginio sertifikatas iš tikrųjų yra autentiškas.

Pastaba: Algo IP galiniuose taškuose, pagamintuose 2019 m. (pradedant nuo 1.7.1 programinės įrangos) ar naujesne versija, įrenginio sertifikatas yra įdiegtas iš gamyklos.
Norėdami patikrinti, ar sertifikatas įdiegtas, eikite į Sistema -> skirtuką Apie. Žiūrėkite gamintojo sertifikatą. Jei sertifikatas neįdiegtas, rašykite el support@algosolutions.com.

„Cipher Suite“.

Šifravimo rinkiniai yra TLS seanso metu naudojamų algoritmų rinkiniai. Kiekviename rinkinyje yra autentifikavimo, šifravimo ir pranešimų autentifikavimo algoritmai. Algo įrenginiai palaiko daugelį dažniausiai naudojamų šifravimo algoritmų, tokių kaip AES256, ir pranešimų autentifikavimo kodo algoritmus, tokius kaip SHA-2.

Algo įrenginių sertifikatai

„Algo Root CA“ pasirašyti įrenginių sertifikatai „Algo“ įrenginiuose įdiegti gamykloje nuo 2019 m., pradedant nuo 1.7.1 programinės įrangos. Sertifikatas generuojamas gaminant įrenginį, o sertifikato bendro pavadinimo laukelyje yra kiekvieno įrenginio MAC adresas.
Įrenginio sertifikatas galioja 30 metų ir yra atskirame skaidinyje, todėl jis nebus ištrintas net atkūrus gamyklinius „Algo“ galinio taško nustatymus.
„Algo“ įrenginiai taip pat palaiko jūsų įrenginio sertifikato įkėlimą, kad galėtumėte naudoti vietoj gamykloje įdiegto įrenginio sertifikato. Tai galima įdiegti įkeliant PEM file kuriame yra ir įrenginio sertifikatas, ir privatus raktas, jį į katalogą „certs“ (ne „certs/trusted“!) Sistemoje -> File Valdytojo skirtukas. Tai file reikia vadinti „gurkšniu“. klientas.pem“.

Viešųjų CA sertifikatų įkėlimas į Algo SIP galinius taškus

Jei naudojate senesnę nei 3.1.X programinę įrangą, atnaujinkite įrenginį.
Norėdami įdiegti sertifikatą „Algo“ įrenginyje, kuriame veikia 3.1 ir naujesnė programinė įranga, atlikite toliau nurodytus veiksmus.

1. Gaukite viešą sertifikatą iš savo sertifikavimo institucijos (gali būti priimtas bet koks galiojantis X.509 formato sertifikatas). Tam nereikia jokio konkretaus formato filepavadinimas.
2. Į web Algo įrenginio sąsają, eikite į Sistema -> File Valdytojo skirtukas.
3. Įkelti sertifikatą files į katalogą „certs/trusted“. Viršutiniame kairiajame kampe spustelėkite mygtuką Įkelti file tvarkyklę ir suraskite sertifikatą.

Web Sąsajos parinktys

HTTPS aprūpinimas
Suteikimas gali būti apsaugotas nustatant „Atsisiuntimo metodą“ į „HTTPS“ (skirtuke Išplėstiniai nustatymai > Teikimas). Tai neleidžia konfigūruoti files, kad jo neperskaitytų nepageidaujama trečioji šalis. Taip pašalinama galima rizika, kad bus pavogti neskelbtini duomenys, pvz., administratoriaus slaptažodžiai ir SIP kredencialai.

Norėdami atlikti tapatybės patvirtinimą aprūpinimo serveryje, taip pat nustatykite „Patvirtinti serverio sertifikatą“ į „Įjungta“. Jei aprūpinimo serverio sertifikatą pasirašo viena iš įprastų komercinių CA, tada „Algo“ įrenginys jau turi turėti viešąjį šios CA sertifikatą ir gali atlikti patikrinimą.
Įkelkite papildomų sertifikatų (Base64 koduotas X.509 sertifikatas file .pem, .cer arba .crt formatu) naršydami į „Sistema > File Manager“ į aplanką „Certs/trusted“.
PASTABA: Parametras „Patvirtinti serverio sertifikatą“ taip pat gali būti įgalintas suteikus: prov.download.cert = 1

HTTPS Web Sąsajos protokolas
Viešojo HTTPS sertifikato įkėlimo procedūra web naršymas yra panašus į tai, kas aprašyta aukščiau esančiame skyriuje. httpd.pem file yra įrenginio sertifikatas, kurio paprašo jūsų kompiuterio naršyklė, kai naršote įrenginio IP. Įkėlę tinkintą, galite atsikratyti įspėjimo pranešimo, jei pasieksite WebUI naudojant HTTPS. Tai nėra viešas CA sertifikatas. Sertifikatas turi būti įkeltas į „certs“.

SIP signalizacija (ir RTP garsas)

SIP signalizacija apsaugota nustatant „SIP transportavimas“ į „TLS“ (skirtuke „Išplėstiniai nustatymai“ > „Advanced SIP“).

• Tai užtikrina, kad SIP srautas bus užšifruotas.
• SIP signalizacija yra atsakinga už skambučio užmezgimą (valdymo signalai, skirti pradėti ir baigti skambutį su kita šalimi), tačiau jame nėra garso.
• Garso (balso) keliui naudokite nustatymą „SDP SRTP pasiūlymas“.
• Nustačius šią parinktį „Pasirenkama“, SIP skambučio RTP garso duomenys bus užšifruoti (naudojant SRTP), jei kita šalis taip pat palaiko garso šifravimą.
• Jei kita šalis nepalaiko SRTP, skambutis vis tiek tęsis, bet su nešifruotu garsu. Jei norite, kad garso šifravimas būtų privalomas visiems skambučiams, nustatykite „SDP SRTP pasiūlymas“ į „Standartinis“. Tokiu atveju, jei kita šalis nepalaiko garso šifravimo, bandymas skambinti bus atmestas.
• Norėdami atlikti tapatybės patikrinimą SIP serveryje, taip pat nustatykite „Patvirtinti serverio sertifikatą“ į „Įjungta“.
• Jei SIP serverio sertifikatą pasirašo viena iš įprastų komercinių CA, „Algo“ įrenginys jau turi turėti viešąjį šios CA sertifikatą ir gali atlikti patikrinimą. Jei ne (pvzample su savarankiškai pasirašytais sertifikatais), tada atitinkamą viešąjį sertifikatą galima įkelti į „Algo“ įrenginį, kaip aprašyta anksčiau šiame dokumente.

TLS 1.2 versija
„Algo“ įrenginiai, kuriuose veikia 3.1 ir naujesnė programinė įranga, palaiko 1.1 ir 1.2 versijos TLS. „Priversti saugų TLS“.
Parinktis „Version“ gali būti naudojama norint reikalauti, kad TLS ryšiai naudotų TLSv1.2. Norėdami įjungti šią funkciją:

• Eikite į Išplėstiniai nustatymai > Išplėstinis SIP
• Nustatykite „Priverstinai saugią TLS versiją“ kaip įjungtą ir išsaugokite.
  PASTABA: Ši parinktis pašalinta iš 4.0 ir naujesnių versijų, nes TLS v1.2 naudojama pagal numatytuosius nustatymus

Algo sertifikatų atsisiuntimas

Žemiau yra nuorodų rinkinys, skirtas atsisiųsti Algo CA sertifikatų grandinę. The files gali būti įdiegtos SIP serveryje arba aprūpinimo serveryje, kad šie serveriai galėtų autentifikuoti įrenginio sertifikatus Algo SIP galutiniuose taškuose ir tokiu būdu leisti abipusį autentifikavimą:
Algo Root CA: http://firmware.algosolutions.com/pub/certs/algo_issuing.crt
„Algo Intermediate CA“: http://firmware.algosolutions.com/pub/certs/algo_intermediate.crt
Algo viešasis pažymėjimas: http://firmware.algosolutions.com/pub/certs/algo_ca.crt

Trikčių šalinimas

Jei TLS rankos paspaudimas nebaigtas, nusiųskite paketo fiksavimą Algo palaikymo tarnybai analizei. Norėdami tai padaryti, turėsite atspindėti srautą, iš prievado „Algo“ galinis taškas yra prijungtas prie tinklo jungiklio, atgal į kompiuterį.

„Algo Communication Products Ltd“
4500 Beedie St Burnaby BC Canada V5J 5L2
www.algosolutions.com
604-454-3792
support@algosolutions.com

Dokumentai / Ištekliai

ALGO TLS Transport Layer Security [pdfInstrukcijos TLS, transporto lygmens sauga, sluoksnio sauga, TLS, transporto sluoksnis

Nuorodos

• Vartotojo vadovas